Bigpanzi Botnet
En tidligere uidentificeret cyberkriminel organisation, kaldet 'Bigpanzi', har genereret betydelige overskud ved at kompromittere Android TV og eCos set-top-bokse globalt siden mindst 2015. Ifølge forskere administrerer denne trusselgruppe et omfattende botnet, der omfatter omkring 170.000 daglige aktive bots. Især siden august har forskere identificeret 1,3 millioner unikke IP-adresser knyttet til botnettet, hvoraf størstedelen er placeret i Brasilien. Bigpanzi anvender metoder som at inficere enheder gennem firmwareopdateringer eller manipulere brugere til at installere kompromitterede apps ubevidst.
Disse infektioner tjener som indtægtskilde for cyberkriminelle, der omdanner kompromitterede enheder til knudepunkter for forskellige ulovlige aktiviteter, herunder ulovlige mediestreamingplatforme, trafikproxy-netværk, Distributed Denial of Service (DDoS) sværme og Over-The-Top (OTT) indholdsforsyning .
Indholdsfortegnelse
Bigpanzi Botnet-operationen implementerer yderligere malware-trusler
Cyberkriminalitetsoperationen udført af Bigpanzi anvender to brugerdefinerede malware-værktøjer kendt som 'pandoraspear' og 'pcdn.'
Pandoraspear fungerer som en bagdørstrojaner, der tager kontrol over DNS-indstillinger, etablerer kommunikation med en Command and Control-server (C2) og udfører kommandoer modtaget fra C2-serveren. Malwaren understøtter en række kommandoer, hvilket gør den i stand til at manipulere DNS-indstillinger, initiere DDoS-angreb, selvopdatering, skabe omvendte skaller, administrere kommunikation med C2 og udføre vilkårlige OS-kommandoer. For at undgå detektion anvender Pandoraspear sofistikerede teknikker, såsom en modificeret UPX-skal, dynamisk linking, OLLVM-kompilering og anti-debugging-mekanismer.
Pcdn, på den anden side, bruges til at konstruere et Peer-to-Peer (P2P) Content Distribution Network (CDN) på inficerede enheder og besidder DDoS-kapaciteter til at våben disse enheder yderligere.
Bigpanzi Botnet har global rækkevidde
I spidsbelastningsperioder kan Bigpanzi-botnettet prale af 170.000 daglige bots, og siden august 2023 har forskere identificeret over 1,3 millioner forskellige IP'er forbundet med botnettet. Men på grund af den intermitterende aktivitet af kompromitterede tv-bokse og begrænsninger i cybersikkerhedsanalytikeres synlighed er det højst sandsynligt, at den reelle størrelse af botnettet overgår disse tal. I løbet af de sidste otte år ser Bigpanzi ud til at have opereret i det skjulte og akkumuleret rigdom diskret. Efterhånden som deres operationer skred frem, har der været en bemærkelsesværdig spredning af prøver, domænenavne og IP-adresser.
Forskere antyder, at i betragtning af netværkets enorme omfang og indviklede, ridser deres resultater kun overfladen af, hvad Bigpanzi virkelig indebærer. Indtil videre har informationssikkerhedseksperter ikke afsløret nogen detaljer vedrørende tilskrivningen af botnet-operationen. En analyse af pcdn-truslen har dog ført dem til en mistænkelig YouTube-kanal, der menes at være under kontrol af en bestemt virksomhed.
Infektionsvektorer, der udnyttes af trusselsaktørerne bag Bigpanzi
Den cyberkriminelle gruppe fokuserer på Android- og eCos-platforme og bruger tre forskellige metoder til at inficere brugerenheder:
- Piratkopierede film- og tv-apps (Android) : Bigpanzi udnytter piratkopierede applikationer relateret til film og tv-serier på Android-enheder. Brugere downloader og installerer ubevidst disse truende applikationer, hvilket giver et indgangspunkt for botnettet til at kompromittere enhederne.
- Bagdørs generisk OTA-firmware (Android) : En anden metode involverer at manipulere over-the-air (OTA) firmwareopdateringer på Android-enheder. De cyberkriminelle introducerer bagdøre i disse opdateringer, hvilket giver dem mulighed for at udnytte sårbarheder under installationsprocessen og få uautoriseret adgang til enhederne.
- Bagdørs 'SmartUpTool'-firmware (eCos) : For enheder, der opererer på eCos-platformen, retter Bigpanzi sig mod en specifik firmware ved navn 'SmartUpTool.' De cyberkriminelle kompromitterer denne firmware ved at introducere bagdøre, der gør dem i stand til at infiltrere og kontrollere enheder drevet af eCos.
Ved at anvende disse tre metoder sikrer Bigpanzi en bred vifte af angrebsvektorer og udnytter intetanende brugere, der engagerer sig i piratkopieret indhold eller opdaterer deres enheder gennem kompromitteret firmware.
